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“NOPEN” 远 控 木 马 分 析 报 告 


近日 ， 国 家 计算 机 病毒 应 急 处 理 中 心 对 名 为 “NOPEN” 
的 木 蕊 工具 进行 了 攻击 场景 复 现 和 技术 分 析 。 该 木马 工具 针 
对 Unix/Linux 平台 ， 可 实现 对 目标 的 远程 控制 。 根 据 “ 影 
子 经 纪 人 ”泄露 的 NSA 内 部 文件 二 该 木马 工具 为 美国 国家 安 
全 局 开发 的 网 络 武器 。 “NOPEN” 木马 工具 是 一 款 功 能 强大 
的 综合 型 木马 工具 ， 也 是 美国 国家 安全 局 接 入 技术 行动 处 
( TA0) 对 外 攻击 究 密 所 使 用 的 主 战 贺 络 武器 之 一 。 

一 、 基 本 情况 

“NOPEN” 木马 工具 为 针对 Unix/Linux 系统 的 远程 控制 
具 ， 主 要 用 于 文件 宅 取 、 系 统 提 权 、 网 络 通信 量 定 向 以 及 
查看 目标 设备 信息 等 ， 是 TA0 远程 控制 受害 单位 内 部 网 络 节 
点 的 主要 工具 。 通 过 技术 分 析 ， 我 单位 认为 ，“NOPEN” 木 
马 工具 编码 技术 复杂 、 功 能 全 面 、 隐 项 性 强 、 适 配 多 种 处 理 
器 架构 和 操作 系统 ， 并 且 采 用 了 插件 式 结构 ， 可 以 与 其 他 网 
络 武器 或 攻击 工具 进行 交互 和 协作 ， 是 典型 的 用 于 网 络 间 谍 
活动 的 武器 工具 ， 
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二 、 具 体 功能 
“NOPEN” 木 马 工具 包含 客户 端 “noclient” 和 服务 端 
“noserver” 两 部 分 ， 客 户 端 会 采取 发 送 激活 包 的 方式 与 服 
务 端 建立 连接 ,使 用 RSA 算法 进行 秘 钥 协 商 ， 使 用 RC6 算法 
加 密 通 信 流 量 . 
该 木马 工具 设计 复杂 ， 支 持 功能 众多 ， 主 要 包括 以 下 功 
能 : 内 网 端口 扫描 、 端 口 复 用 、 建 立 隧道 、 文 件 处 理 ( 上传 、 
下 载 、 删 除 、 重 命名 、 计 算 校 验 值 )、 目 隶 遍 历 、 邮 件 获取 、 
环境 变量 设置 、 进 程 获 取 、 自 毁 消 痕 等 。 
三 、 技 术 分 析 
经 技术 分 析 与 研判 ， 该 木马 工具 针对 Unix/Linux 平台， 
可 在 主 控 端 和 受 控 端 之 间 建 立 隐蔽 加 密 信 道 ， 攻 击 者 可 通过 
向 目标 发 送 远程 指令 ， 实 现 远程 获取 目标 主机 环境 信息 、 上 
传 /下 载 /创建 /修改 /删除 文件 、 远 程 执行 命令 、 网 络 流量 代 
理 转发 、 内 网 扫描 、 宅 取 电 子 同 件 信 息 、 自 毁 等 恶意 功能 。 
该 木马 工具 包含 主 控 端 (Client ) 和 受 控 端 (Server) 两 个 
部 分 ， 具 体 分 析 结 果 如 下 : 


(—) 主 控 端 功能 分 析 
表 1 主 控 端 样本 文件 信息 


xd 
MD5 188974cea8f1f4bb75e53d490954c569 
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SHA-1 a84ac3ea04f28111a2027ee0097f69511af0ed9d 


ed2c2d475977c78de800857d3dddc739 
57d21919bb09a9c8390435c0b6da21ac 
文件 大 小 2412KB (241192 字 节 ) 
文件 类 型 ELF32 
文件 最 后 修改 时 间 | 2011-12-8 19:07:48 
支持 处 理 器 架构 | 1386,1486,1586, 1686, sparc, alpha, x86 64, amd64 
支持 操作 系统 FreeBSD. SunOS. HP-UX. Solaris. Linux 


FE 控 端 的 主要 功能 是 连接 受 控 端 和 向 受 控 端 发 送 指 邻 
-接收 受 控 端 回 传 的 信息 

连接 目标 受 控 端 
主 控 端 通过 以 下 命令 行 连接 目标 受 控 端 ; 


SHA-256 


| ils 


noclient [参数 1: 目标 主机 IP 地 址 ]:[ 端 口号 (默认 为 32754 ) ] 
连接 成 功 后 会 组 合 采用 RC6+RSA 加 密 算法 ， 在 主 控 端 与 


受 控 端 之 间 建 立 加 密 信 道 。 并 回 显 主 控 端 与 被 控 端 基本 信 


息 ， 包 括 : 名 地 址 和 端 晶 号、 软件 版 本 、 当 前 工作 目录 、 进 
程 号 (PID) 、 操 作 系统 版 本 和 内 核 版 本 、 日 期 时 间 等 。 同 
时 主 控 端 建立 监听 端口 (默认 为 1025 ) ,接受 受 控 端的 反 向 
连接 ， 


Lu 


FE 控 端 连接 目标 受 控 端 ,如 图 1 所 示 ， 
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root()kali: -/NOPEN eoo] 


File Edi View Search Termnal Help 


NOPEN£ 
NOPEN 


PEN! 


1: scanner: not found 
1: ourtn: not found 
1: scripme: not found 
Sat Jan 29 1:36:04 GMT 2022 
NHOME: environment variable not set, assuming "NHOME-/root/NOPEN/ 
NHOME 
/root/NOPEN/. ./etc/norc: No such file or directory 


to 192.168.241.134 


ending random number... ok 
ceiving random number... ok 
ion key... 0x7BEDAE6970BB0365AB492E5590BCB66E 
fy string 


134:32754) 
754) 


History 
Command Qut 
CWD 

NHOME 

PID (PPID) 
ote 

NOPEN server 
WDIR 

05 5.0-112 e 3-16.04 Ubui SMP Fri Jul 10 04:37:08 UTC 2020 x86 64 
CWD 

PID (PPID) 


Reading res is e oot /NOPEN 1 c.t . oot LB rc.linux: No such file or directory 
History e b /NOPEN/. . / s 3 ok 
Creating c [ le */root N/../ M 68.241.134-2822-01-29.01:36:04* ok 


Lonel Bored? Need advice? Maybe "-help" will show you the way 
We are starting up our virtual autoport 


We are bound and ready to go on port 1025 
NO! testhost:/h nples/NOPEN» 


2、 eg 


203 5j MCI X 77 8 
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root@kali: -/NOPEN 


File Edit View Search Terminal Help 
/NOPEN--- help 
5811 sthost.192.168 


tegory|filename [options-if-any] 
VAR=[val] 


Remote Server Commands: 
-burn 
-call ip port 
-listen port 
-pid 


e Network Commands: 
-icmptime target ip [source ip] 
-ifconfig 
-nslookup namel ,.. 
-ping -r remote target ip [-l local source ip] [-i|-u|-t] [-p dest port] [-s src port] 
-ping host 
-ping [-u|-t|-il host 
: -trace -r remote target ip [-l local source ip] Í-i|-u|-t] [-p dest port] [-s src port] 
-trace host 
trace [-u|-t|-i] hos 


e Redirection Command: 
1 -fixudp port 
-irtun target ip call back port [call back ip] [ourtn arguements] 
-jackpop target ip target port source ip source port 
-nrtun port [toip [toport]] 
-nstun toip [toport [localport [srcport [command]1]] 
-nstun toip:port 
end tcp port 
-rtun port [toip [toportjj 
; -Scan 
entry target address source address (tcp|udp) dest port src port interface 
-stun toip toport [localport [srcpt 
-sutun [-t ttl] toip toport [localport [srcport]] 
-tunnel [command listen port [udp]] 
-vscan (should add help) 


File Commands: 
t remfile 
chili [-1] [-s lines] [-m max] MM-DD-YYYY remdir remfile [remfile ... 
sum remfile . 
et [MM-DD- YYYYj loclist 
t [-1] [-q] [-s minimumsize] [-m MM-DD-YYYY] remfile ... 
em [-d] [-v] [-n] [-i] [-h] [-C number of context lines] pattern filel [file2 
get [-a] [-q] [-s begoff] [-b begoff] [-e endoff] remfile 
-put locfile remfile [mode] 
-strings remfile 
-tail [+/-n] remfile, + to skip n lines of remfile beginning 
: -touch [-t mtime;atime | refremfile] remfile 
-rm remfile|remdir ... 
-upload file port 
-mailgrep [-l] [-m maxbytes] [-r "regexp" [-v]] [-f regexpfilename [-v]] [-a "regexp for att. nts to eliminate"] [-b M 
M-DD-YYYY] [-e MM-DD-YYYY] [-d remotedumpfile] remotedir filel [file2 . 
ilgrep -a ".doc" -r "^Fred" -b 2-28-2002 /var/spool/mail G* 


Directory Commands: 
-find [-M | -m -mkfindsargs] [-x[m|a|c] MM-DD-YYYY] Ans [remdir...] 
-ls [-lihuRt] [-x(m|a|c] MM-DD-YYYY] [remfile|rendir ... 

[remdir] 


-autopilot port [xm 
cmdout [locfilename] 


: -reset 


Environment Commands: 
-lcd locdir 
-lgetenv 

wd 


-lsetenv VAR-[val] 
[[-q] command] 


图 2 主 控 端 控制 全 
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2 所 示 。 


表 2 远程 控制 指令 


-elevate 
-getenv 


-gs 


-setenv 


境 变量 


-shell 


返回 命令 行 楼 口 


-Status 


-call ip port 


-listen port 


-pid 
-jiemptimetarget 


_ip [source ip] 


查看 远程 受 控 端 进程 ID 


远程 Ping 目标 地 址 ， 查 着 时 延 


远程 网 络 | -ifeonfig 查看 远程 主机 的 IP 地 址 设置 和 MAC 地 址 
章 令 ”| -nslookup 远程 对 指定 域名 进行 解析 
-ping 远程 Ping 目标 地 址 ， 用 于 内 网 探测 
远程 traceroute 
-fixudp port 指定 UDP 传输 端口 
18 -irtun irtun 隧道 
19 | 远程 网 络 | -jackpop Es 
20 转发 指令 | -nrtun nrtun 隧道 
21 -nstun nstun 隧道 
22 -rawsend 未 知 
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序号 | 指令 类 型 指令 功能 
23 -rtun rtun 隧道 
24 -Scan 调用 扫描 器 对 指定 目标 进行 端口 扫描 
25 -sentry ES 
26 -stun stun 隧道 
27 -sutun sutun 隧道 
- M 对 指定 隧道 进行 操作 ， 包 括 修改 端口 号 、 
查看 隧道 状态 信息 以 及 关闭 隧道 
29 -vscan 未 知 
30 -cat 查看 远程 文件 内 容 
31 -chili 未 知 
32 -cksum 计算 远程 文件 HASH 校 验 值 
33 -fget 未 知 
34 -get 下 载 远 程 受 探 端 主机 上 的 文件 
查找 远程 受 控 端 主机 文件 里 符合 条 件 的 字 
35 -grep 
i 
36 | 文件 操作 | -oget 按照 文件 偏 移 量 提取 远程 目标 文件 内 容 
37 指令 — |-put 上 传 本 地 文件 到 远程 主机 
38 -strings 读 取 远 程 目标 文件 中 的 字符 囊 
39 -tail 从 第 开行 开始 读 取 目 标 文件 
40 -touch 未 知 
41 -rm | 除 远 程 目录 或 文件 
42 -Upload 打开 本 地 文件 传输 端口 
" "e 从 远程 主机 邮箱 中 用 正则 表达 式 查 找 邮 件 


UE EK 


操作 指令 
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从 远程 目录 中 查找 特定 文件 
列举 远程 目录 文件 

X E EX 


未 知 
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全 局 操作 指令 如 图 3 所 示 。 


root@kali: -/NOPEN eo00] 


File Edit View Search Terminal Help 


06 GM| 


ICEPATH& 
host 1 


图 3 全 局 操作 指令 
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网 络 操作 指令 如 图 4 所 示 。 


root@hkali: -/NOPEN eo0 


File Edit Mew Search Terminal du 


ICM? Unreachab 


Unreachab 


inples/N0 
host: 


ther 00:0c:29:2f;95;d9 


168.241.134 (TTL 64 


Remote General 


[options -if 


图 4 网 络 操作 指令 
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文件 操作 指令 如 图 5 所 示 。 


root@kali: -/NOPEN eoo0 


File Edit View Search Terminal Help 


it makes the tunn 


ich file or directory 


No such file or directory 


/NOPEN/ 


图 5 文件 操作 指令 
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另外 ， 还 有 一 些 隐藏 指令 并 没有 被 在 控制 台 帮 助 中 列 


出 , 4] *-hammy" , *-trigger" , *-triggerold" 和 “-sniff” 
等 ， 如 图 6 所 示 。 经 研判 可 能 是 与 其 他 网 络 武器 或 攻击 工具 
Nini ilb 


nad EEE 
i 


图 6 隐藏 操作 指令 
(二 ) 受 控 端 功能 分 析 


表 3 受 控 端 样本 文件 信息 


文件 名 noserver linux 
MD5 9081d61fabcb9919e4e3fa84227999db 

SHA-1 0274bd33c2785d4e497b6ba4915485caa5220855 
4acc94c6be340fb8ef4133912843aa0e 

SHA-256 
4ece01d8d371209a01ccd324f519a9ca 

文件 大 小 357KB (356996 字 节 ) 

文件 类 型 ELF32 

文件 最 后 修改 时 间 | 2011-12-8 19:07:48 


受 控 端 被 加 载运 行 后 会 默认 监听 32754 端口 ， 如 图 7 所 


示 。 
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$ .[noserver 
estütesthost: $ lsof -i 
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME 
noserver 2019 test 4u IPv4 31244 60tO TCP *:32754 (LISTEN) 


: $ ps -al 

PID PPID C PRI NI ADDR SZ WCHAN TTY TIME CMD 
2019 1281 60 80 = 146 inet c pts/17 80:00:00 noserver 
2079 1990 0 80 9- 8996 - pts/17 80:00:00 ps 

: E 


图 7 受 控 端 监听 


受 控 端 默认 监听 端口 如 图 8 所 示 


车 日 “7 中" UE m yo ag dabas - 64d xX/ » Ow -j*ege mem 


|. Library function Bl Regular Fonction [Bl Instruction (9 Data B lnerplored 项 External symbol 


lm NÜ-EDYEEETEYTUET 


Function rame 


a 
宁 
一 
AP 
B 


BE 
ae 
Ina 
hn 
2k 
S: 

I 


DEN NETTEN 四 | 入 GREEN 加 | 内 odewrimew of Mivay 002] | 区 | sei 
Segment — Stat lengh ^ “ne align 10h 
text:esesc6e 
init O8048080 — CDODDO2C |.text:0805C640 lcc 805CG40: j CODE XREF: sub BOSCG20s10fj 
itd 080480F4 00000025 7 |.text:esosceao mov eax, GFFFFFFFFh 
tet 03048159 CD0001DC eee dens 
tet Osca CD000012 * ['cext-asasceae ret 
tet Osce — Coon Ltext:amesce4 «ub aesc628 endp 
tet ra04835C —— monec text:9885C646 
tet mec — momne -text:8885C646 ie 
test 0B048380 ronnn23 | :text:g 3; align 
tet ra0e6304 —— tomum .text:8B85C648 
tet 030s8594 —— COODDISA -text:0805C648 
[o 2 -text:0805C648 
90s8724 。。 co00olad | text unico " 
Fa etaE9SC648 sub aescee 。 Proc ear ja b_59513584D4fp 
oaodeo08 — coonoose scien 
pos zi prie E 
omis —— hono elio DRE. med 
Daokap98 。 coonoocs esi b. mp 
109049C80 000005 拘 * |.text:esescesz h est 
omoi — oon ? [text:ocoscosa EM 
DonoozB ， [.textzecoscosa. dword ptr [ebp-1470h], © 
cooocorm * ['cexe:ososcese word ptr [chp-14c2n], 32754 ; //BMA iiia 
0000004. * |.text:esosces7 ibo 
tO000000. 7 |.text:esescesn si 
aas * [.text-asascesn. ptr [ebp-1474h], & 
XAR ? |-text:aaesc67a word ptr [ebp-1478h], & 
Sa 7 [.text:ososcezn dword ptr [ebp-147Ch], 1Eh 
-text :9805C687 uduand pe Agr EE 
了 |.text:9885C691 mov dword ptr [ebp-1484h], 1 
| -text:6895C698 mov — word ptr [ebp-14885], 6 
eid 7 [tert:otoscena mov dord ptr [ebp-148Ch], © 
-text :0805CEAE xor edi, edi 
jet O304pD:0 — COOD0043 了 |-text:9865C689 mov dword ptr [ebp-1008h], & 
tet 050<BD64 — COODDOFB ^ [.text:0805C6BA lea —— eax, [ebp-1988h] 
fet oaodpgs0 — coonooic * 'text:GBascca DE S 
tet Ono4pic — coonooiz ?| -text:esesc6Gl lea 。 eax, [ebp-i000h] 
tet po en * [text:esescecz push em 
tet UGO4BK:C 50000055 ^ [.text:esescecs lea —— eax, [ebp-1084h] 
text 0504BF64 CDo00ol4 * |.text:eaescecE push. eax 
fui peice * [.text:esescocr push — dword ptr [cbpreCh] 
md EGRE mak 2 test iotoscen2 push 
tet UGUICZIS — QOODDS(A © |-text:0605c6D5 can 
tet DXMCEM CD00l60 2 [rtext:ososcens add 


GENERE DAE Is 

F 扰 和 和 对抗 分 析 ， 进 行 了 去 符号 操作 ， 

功能 ， 分 析 受 控 端 程序 的 主要 功能 如 表 4 所 示 : 
A A 受 控 端 样本 功能 模块 

函数 名 ( 自 定义 ) 功能 


KillProc. kill 终止 指定 进程 
Chmod 为 指定 对 象 赋 权 限 


GetCWD 获得 当前 工作 目录 


上 | | 


GetPid 获得 当前 进程 ID 
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DeleteFile Dir 
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删除 指定 文件 或 目录 


GetFileMD5 


获得 


时 指定 文件 MD5 摘要 


GetPCInfo 


E 机 环境 信息 


受 


空 端 根据 主 


亚 音 


控 端 指令 组 合 调用 相应 模块 执 实 现 相关 
操作 ， 如 图 9 所 示 


NS e 
j IE ENNIUS DNE 
| Library function Bl Regale Bunction B Instruction Dats [B nenplored 7 Esterail symbel 
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四 、 使 用 环境 


图 9 


受 控 端 功能 调用 


*NOPEN" 木马 工具 支持 在 Linux. FreeBSD. SunOS 


Solaris. JUNOS 和 HP-UX 等 
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1386. 1486. 1586. 1686. 186pc. 186. SPARC, Alpha, x86.64, 
PPC. MIPS. ARM 以 及 AMD64 等 多 种 体系 架构 , 适用 范围 较 广 。 
根据 监控 情况 ， 该 木马 工具 主要 用 于 在 受害 单位 内 网 中 执行 
各 类 攻击 指令 ， 结 合 其 他 取 情 、 喧 探 工具 ， 级 联 宅 取 核心 数 
据 。 

五 、 植 入 方式 
“NOPEN” 木 马 工具 支持 多 种 植 入 运行 方式 ， 包 括 手动 
植 入 、 工 具 植 入 、 自 动 化 植 入 等 ， 其 中 最 常见 的 植 入 方式 是 
结合 远程 漏洞 攻击 自动 化 植 入 至 目标 系统 中 ， 以 便 规避 各 种 
安全 防护 机 制 。 此 外 ,TA0 还 研发 了 一 款 名 为 Packrat 的 工 
具 ， 可 用 于 辅助 植 入 “NOPBN” 木马 工具 ， 其 主要 功能 为 对 
“NOPEN” 木 马 工 具 进 行 压缩 、 编 码 、 上 传 和 启动 。 

六 使 用 控制 方式 

“NOPEN” 木 马 工具 主要 包括 8 个 功能 模块 ， 每 个 模块 
5 持 多 个 命令 操作 ，TA0 主要 使 用 该 武器 对 受害 机 构 网 络 内 
的 核心 业务 服务 器 和 关键 网 络 设备 实施 持久 化 控制 。 其 主 
合用 方式 为 : 攻击 者 首先 向 安装 有 “NOPEN” 木 马 工具 的 
内 主机 或 设备 发 送 特殊 定制 的 激活 包 ，“NOPEN” 木 马 工 
被 激活 后 回 连 至 控制 端 ， 加 密 连 接 建 立 后 ， 控 制 端 发 送 各 
类 指令 操作 “NOPEN” 木 马 工具 实施 网 内 活 透 、 数 据 窃 取 、 
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其 他 武器 上 传 等 后 续 攻击 窃 密 行 为 。 
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